リンク: スパイウェアノート | スパイウェアガイド スパイウェア データベース | 検出分析 | ブロックリスト

SpywareGuide powered by FaceTime Security Labs

 

 

 

スパイウェア ノート

Winfixerから感染するvturoの除去方法について

 

Winfixerによる被害報告が増加しています。Winfixer脅威とは、Winfixerそのものではなく、その後に感染する各種のスパイウェアの問題です。Winfixer自身は、アンインストールすることで簡単に削除することができます。除去の困難なものは、vturo トロイの木馬の感染です。

これに感染してしまうと、コンピュータにログインすると"スパイウェアに感染しています"というような画面が表示されます。(http://www.shareedge.com/spywareguide/product_show.php?id=2263 参照)。この画面は、'セキュリティセンタ'というタイトルで、またデザインも何となくマイクロソフト社のWindowsのセキュリティ センタのように構成されています。これは、英語の画面なので日本のユーザには、あまりそのインパクトは小さいかも知れません。しかし、Winfixer自身や、感染を除去するための購入画面が日本語化されていることが、日本での被害を大きくしている原因の一つかも知れません。

また、この感染を除去する機能を持ったスパイウェア対策ソフトウェアが存在していないことも被害を深刻にしている原因です。この感染は、winlogon.exeに子スレッドとしてカーネル レベルで実行されるためプロセスの停止と、削除が容易に行えません。従って、除去には少し複雑な手動での作業が要求されます。

私達の経験した、この感染の除去手順をここに紹介しますので、少しでも役に立てれば幸いです。しかし、実際に手動での作業を行う前に、必ずスパイウェア除去の専門家に状況を見てもらい、アドバイスを受けてください。

 


準備するもの:

感染の見つけ方:

  • HijackThisを実行し、システムログを生成します。
  • HijackThis ログに、以下の行があるかどうかを確認します。

O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINDOWS\system32\vturo.dll
O20 - Winlogon Notify: vturo - C:WINDOWS\system32\vturo.dll

除去手順:

1. Process Explorer, HijackThisをデスクトップに展開します。

2. コンピュータをセーフモードで再起動します。

3. システム回復をオフにします。( XPの場合)

マイコンピュータ->プロパティ->システム回復で行います。

4. Hijackthisを実行します。

5. 以下の値を探します。(まだ、削除しないでください):

O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINDOWS\system32\vturo.dll
O20 - Winlogon Notify: vturo - C:\WINDOWSsystem32\vturo.dll

6. proexp.exeを実行します。(手順1で展開したもの)

7. 'System Idle Process'を展開します。

8. その下の'System'を展開します。

9. 'winlogon.exe'を見つけて、ダブルクリックします。プロパティ ダイアログボックスが開かれます。

10. 'Threads'タブを選択します。

11. リストの中に vturo.dllを見つけたら、その行を選択し、"Kill"ボタンをクリックします。

12. ウィンドウズの"スタート"メニューを開きます。

13. メニューから'プログラムを名前を指定して実行'を選択します。

14. "Regedit"とタイプして"OK"をクリックして、レジストリ エディタを開きます。

これを開いたまま残しておいてください。

15. タスクバーを右クリックして、タスク マネジャを開きます。

16. 'プロセス'タブを選択します。

17. プロセス "Explorer.exe"を選択し、"プロセスを終了"をクリックします。

RegeditおよびHijackthisの画面は、開いたままになっていることを確認してください。

18. Regeditから {93C6313C-9DB4-4694-8BD0-E378C573A9AD}を検索します。

メニュー->編集->検索を利用してください。
見つかったらすべて削除してください。
すべて検索し終わるまで見つけて、削除します。

20. Regeditからvturo.dllを検索して、すべて削除します。

21. Hijackthisに移動します。

22. HijackThisで以下の値を削除します。

O2 - BHO: (ATLDistrib Objec) - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINDOWS\system32\vturo.dll
O20 - Winlogon Notify: vturo - C:\WINDOWS\system32\vturo.dll

23. C:\Windows\Prefetch フォルダ内のすべてのファイルを削除します。

24. コンピュータをセーフモードで再起動します。

25. ファイル C:\WINDOWS\system32で vturo.dllを探します。

ドライブ名は、ご使用の環境によって異なります。

26. 見つけたら削除します。

削除できない場合、ステップ6から11の手順を確認してください。

27. X-cleanerでドライブを選択し、ディープスキャンを実行します。

28. システム回復をオンに戻します。

X-Cleanerをご利用のユーザは、ブロックリスト(検疫タブ)を適用することで、再び感染することを防ぐことができます。

by 2006.02.03 T.Sakamoto

   

スパイウェア コラム

スパイウェア ノート -索引
その他コラム記事
  • Japan.Internet.comスパイウェアに関するコラム
  • Scan Security Management企業ITセキュリティ管理者のためのスパイウェア知識
  • 除去に関する相談/問い合わせ
  • スパイウェア用語集
  • よくある質問
  • スパイウェア関連ニュースの検索(Google)
  • スパイウェアガイド WhitePaper
  • スパイウェア関連記事の紹介

    IPAからのお知らせ スパイウェア関連クリップ

    2006年版 関連ニュース/記事クリップ

    2005年版 関連ニュース/記事クリップ
    無料スパイウェア オンラインスキャナ
    ご意見、ご質問
    SpyRescue(スパイレスキュー)
    X-Cleaner,SpyRescue製品は製品の開発メンテナスを終了しました。
    最近追加されたスパイウェア
    [お知らせ]
    X-Cleaner,SpyRescue製品は製品の開発メンテナスを終了しました。
    今月の報告トップ スパイウェア